Las contraseñas se han convertido en parte del día a día de casi todo el mundo. Las utilizamos como nuestras claves de seguridad digitales, protegiendo nuestros datos, dinero, información personal y cuentas. A medida que los ciberdelincuentes siguen desarrollando nuevas tácticas para explotar las identidades digitales y la información crítica, la importancia de proteger nuestros activos digitales y garantizar una seguridad sólida de las contraseñas se vuelve más crítica que nunca. Es hora de reflexionar sobre esta piedra angular de la ciberseguridad y ver qué se puede hacer para proteger la seguridad de tu organización.
La creciente sofisticación de las ciberamenazas ha dejado claro que la seguridad de las contraseñas no consiste únicamente en crear una contraseña segura, sino en fomentar una cultura de seguridad que impregne todos los niveles de una organización. Aunque las viejas reglas siguen siendo válidas, como ser consciente de dónde se almacena la contraseña o desconfiar de introducirla en sitios no seguros, como los que no están protegidos con certificados de una Autoridad Certificadora o a través de redes no fiables, es importante prestar atención a las evoluciones más implicadas de la seguridad y a las amenazas que representan.
Garantizar la higiene de las contraseñas en tu organización
El primer paso hacia contraseñas más seguras es garantizar una cultura de higiene de contraseñas seguras en una organización. La higiene de contraseñas es la práctica de seleccionar, gestionar y mantener contraseñas seguras para proteger las cuentas y los sistemas de los ciberdelincuentes. Esto incluye, entre otras cosas
- Creación de contraseñas: asegurarse de que no sean obvias, comunes o fáciles de piratear. La contraseña más común sigue siendo 123456, según NordPass, y puede descifrarse en menos de un segundo. Cuanto más larga sea una contraseña, mejor. La longitud de la contraseña afecta exponencialmente al tiempo que se tarda en descifrarla, y una contraseña más larga con una mezcla de caracteres especiales y números tiene muchas menos probabilidades de ser descifrada mediante ataques de fuerza bruta.
- Variación de cuentas - seleccionar contraseñas únicas - el 13% de los usuarios reutiliza la misma contraseña para todas las cuentas, y el 52% reutiliza una contraseña para algunas cuentas. La reutilización de contraseñas puede facilitar la violación de cuentas individuales, ya que una vez que una contraseña queda expuesta en una cuenta, da acceso a todas ellas.
- Seguridad de las contraseñas: es importante mantener la privacidad de las contraseñas personales, independientemente de con quién se hable. Conviene recordar que, aunque conozcas a la persona a la que confías esa información y no tenga malas intenciones, cualquier comunicación digital corre cierto riesgo de ser interceptada y leída, por ejemplo a través de un correo electrónico inseguro.
Una mala higiene de las contraseñas puede acarrear costosas consecuencias, como filtraciones de datos o ataques de denegación de servicio (DoS). Es importante que los administradores de seguridad inviertan habitualmente tiempo y recursos en educar a los usuarios sobre la importancia de la higiene de las contraseñas, ya que esto puede contribuir en gran medida a mitigar los efectos de una violación.
¿Cómo pueden verse comprometidas las contraseñas?
Para empezar, es importante reconocer las formas en que una contraseña puede verse comprometida. Para acceder a información segura, los piratas informáticos pueden utilizar varios métodos, los más comunes de los cuales son los siguientes:
- Ataque de fuerza bruta: Un atacante utilizará el método de ensayo y error para intentar adivinar la combinación correcta de la información de acceso, las claves de cifrado o la página web oculta, generalmente a través de un sistema generativo. Existen muchas variantes de ataques de fuerza bruta, pero por lo general, estos sistemas suelen adivinar primero nombres de contraseñas comunes y prueban una serie de variaciones para conseguirlo. Si utilizas una contraseña con 6 caracteres o menos, esto puede hacerse en cuestión de horas, o incluso al instante si tu contraseña es sencilla.
- Ataques de phishing: Un atacante se hace pasar por una empresa de confianza para acceder a datos sensibles y confidenciales, o para desplegar programas maliciosos como ransomware. Los ataques de phishing son una de las principales causas de que las empresas sufran filtraciones de datos, ya que son difíciles de prevenir y dependen de la educación de los empleados.
- Relleno de credenciales: Un atacante toma las credenciales obtenidas de una violación de datos anterior e intenta iniciar sesión en otro servicio. Lo más probable es que un correo electrónico individual se haya visto comprometido en algún tipo de violación de datos en el pasado, lo que puede abrir la puerta a un mayor acceso a otras cuentas vinculadas a esa dirección en caso de que la contraseña sea similar o la misma.
Una contraseña adecuada, que siga unas normas básicas de higiene para asegurarse de que no es fácil de vulnerar, puede ayudar a evitar muchas pérdidas de datos en tu organización, pero sigue sin ser infalible: en el Reino Unido, la mitad de las empresas declararon haber sufrido algún tipo de brecha de ciberseguridad en 2023. Así que, si el conocimiento de las contraseñas por sí solo no es suficiente, ¿en qué puedes confiar?
¿Qué es el hashing?
El hashing consiste en tomar una entrada y convertirla en una cadena aleatoria de idéntica longitud. Los hash permiten ocultar la extensión y la información contenida en el valor de entrada original. Esto permite verificar datos y asegurar contraseñas contra diferentes tipos de ataques.
Por ejemplo, algunos métodos de ataque DoS, como los ataques de diccionario, que buscan palabras específicas utilizadas con frecuencia en las contraseñas, son ineficaces contra las contraseñas hash, ya que la entrada de la contraseña queda aleatorizada por el hash. Los hash también se pueden utilizar para el almacenamiento seguro de criptodivisas, ya que pueden añadir otra capa de cifrado a las contraseñas utilizadas para las cuentas cripto.
Salado de contraseñas (Password Salting)
El salado de contraseñas se utiliza junto con el hash. Cuando salas una contraseña, añades enteros y cadenas aleatorias a cada contraseña antes de aplicar el hash. Una sal es un valor aleatorio, considerablemente grande, que se genera cuando se utiliza un generador seguro de números aleatorios o un generador de bits aleatorios. Las sales se almacenan con cada valor hash de contraseña en tu servidor, creando así valores hash únicos para las contraseñas.
Combinación de Salting y Hashing
Los hashes de contraseñas con sal son más seguros que las contraseñas en texto plano o los hashes sin sal porque combinan la fuerza del salting con la resistencia del hashing. Los piratas informáticos no podrán buscar en su base de datos contraseñas o sus correspondientes valores hash que coincidan con contraseñas comunes o compartidas. Además, los hashes de contraseñas con sal son poco prácticos y difíciles de determinar caso por caso.
Es esencial que los malos actores no puedan discernir la sal que se ha utilizado, por lo que deben ser únicas y generadas aleatoriamente antes de que se les aplique el hash. El objetivo es crear un hash que sea demasiado difícil de calcular para cada contraseña utilizando sales individuales.
Esto evita que los actores maliciosos utilicen scripts e IA para descifrar tus hashes y contraseñas con sal. Esto se puede utilizar para hacer que tus bases de datos sean aún más seguras, y cuando se combina con la seguridad de un autenticador de múltiples factores, hace que sea extremadamente difícil violar una cuenta.
Autenticación multifactor (MFA)
Crear contraseñas seguras es importante, pero aun así puede dejarte a ti o a tu organización vulnerable, e incluso las contraseñas más seguras pueden ser susceptibles de ser comprometidas. Las contraseñas competentes son aquellas que son largas y complejas, con un uso combinado de letras, números, mayúsculas y minúsculas y caracteres especiales, pero ni siquiera éstas bastan por sí solas para evitar a los atacantes. Las organizaciones deben implementar la autenticación multifactor para proporcionar una seguridad digital sólida.
Aumenta la seguridad de tus sistemas para garantizar que una brecha sea casi imposible desde la mayoría de las fuentes. Microsoft estima que la MFA puede bloquear el 99,9% de los ataques de compromiso de cuentas. El uso de un MFA es la mejor defensa que se puede utilizar para prevenir brechas, y debe estar entre las principales prioridades de cualquier organización a la hora de gestionar la seguridad.
Mantén seguras tus contraseñas
A la luz de las crecientes amenazas a la ciberseguridad, es importante reconocer que salvaguardar las contraseñas no es una tarea de una sola vez, sino un compromiso continuo con la seguridad. Se necesita un enfoque holístico de la seguridad de las cuentas para garantizar que las organizaciones puedan reforzar sus defensas contra las ciberamenazas y seguir salvaguardando la integridad y confidencialidad de sus activos digitales.
En el ámbito en constante evolución de la identidad y la seguridad digitales, nuestras contraseñas son sólo una capa de seguridad entre tu organización y una posible brecha. La protección de contraseñas requiere una buena educación en seguridad organizativa, una cultura de vigilancia y un enfoque proactivo de las prácticas de seguridad.
Mejora la seguridad de tus contraseñas con la autenticación multifactor